Microsoft corrige bug crítico do Outlook explorável via painel de visualização

Views: 63
0 0
Read Time:5 Minute, 37 Second

A Microsoft lançou as atualizações de segurança do Office em outubro de 2020 com um total de 24 atualizações de segurança e 5 atualizações cumulativas para 7 produtos diferentes, corrigindo 13 vulnerabilidades que poderiam permitir que invasores remotos executasse códigos arbitrários em sistemas vulneráveis.

O destaque das atualizações de segurança do Microsoft Office deste mês é, sem dúvida, cve-2020-16947, uma vulnerabilidade de execução remota de código que leva à execução remota de código ao visualizar ou abrir e-mails maliciosamente criados com uma versão vulnerável do Microsoft Outlook.

A exploração também pode ser alcançada em um cenário de ataque baseado na Web através de sites usados para hospedar arquivos especialmente criados projetados para explorar o CVE-2020-16947.

Quando explorado com sucesso, o bug permite que os invasores executem código arbitrário no contexto do usuário do Sistema. Os invasores também podem assumir o sistema-alvo se o usuário atualmente conectado tiver direitos administrativos ao usuário.

O CVE-2020-16947 afeta vários produtos do Office, incluindo o Microsoft Outlook 2016 e o Microsoft Office 2019, bem como os aplicativos Microsoft 365 para empresas.

Lista de problemas de segurança do Escritório corrigidos este mês

As atualizações de segurança do Patch Tuesday Office de outubro de 2020 abordam a execução remota de código (RCE), o bypass de segurança, a elevação do privilégio, a negação de serviço, a divulgação de informações e as vulnerabilidades de scriptagem entre sites em sistemas Windows que executam edições vulneráveis do Microsoft Installer (.msi) e clique para executar edições de produtos do Microsoft Office.

A Microsoft classificou as 11 falhas de segurança RCE corrigidas este mês Problemas críticos ou importantes de gravidade, visto que eles poderiam permitir que os invasores executem código arbitrário no contexto do usuário atual após uma exploração bem-sucedida.

Os invasores poderiam então instalar programas maliciosos, visualizar, alterar e excluir dados, bem como criar suas próprias contas de administração desonestos em dispositivos Windows comprometidos.

TagCVE IDTítuloGravidade
Microsoft OfficeCVE-2020-16933Vulnerabilidade do recurso de segurança do Microsoft WordImportante
Microsoft OfficeCVE-2020-16929Vulnerabilidade de execução de código remoto do Microsoft ExcelImportante
Microsoft OfficeCVE-2020-16934Microsoft Office Click-to-Run Elevação da Vulnerabilidade de PrivilégioImportante
Microsoft OfficeCVE-2020-16932Vulnerabilidade de execução de código remoto do Microsoft ExcelImportante
Microsoft OfficeCVE-2020-16930Vulnerabilidade de execução de código remoto do Microsoft ExcelImportante
Microsoft OfficeCVE-2020-16955Microsoft Office Click-to-Run Elevação da Vulnerabilidade de PrivilégioImportante
Microsoft OfficeCVE-2020-16928Microsoft Office Click-to-Run Elevação da Vulnerabilidade de PrivilégioImportante
Microsoft OfficeCVE-2020-16957Vulnerabilidade de execução remota do mecanismo de conectividade do Microsoft Office AccessImportante
Microsoft OfficeCVE-2020-16918Vulnerabilidade de execução de código remoto base3DImportante
Microsoft OfficeCVE-2020-16949Vulnerabilidade de negação de serviço do Microsoft OutlookModerada
Microsoft OfficeCVE-2020-16947Vulnerabilidade de execução de código remoto do Microsoft OutlookCrítico
Microsoft OfficeCVE-2020-16931Vulnerabilidade de execução de código remoto do Microsoft ExcelImportante
Microsoft OfficeCVE-2020-16954Vulnerabilidade de execução remota de código do Microsoft OfficeImportante
Microsoft OfficeCVE-2020-17003Vulnerabilidade de execução de código remoto base3DCrítico
Microsoft Office SharePointCVE-2020-16948Vulnerabilidade de divulgação de informações do Microsoft SharePointImportante
Microsoft Office SharePointCVE-2020-16953Vulnerabilidade de divulgação de informações do Microsoft SharePointImportante
Microsoft Office SharePointCVE-2020-16942Vulnerabilidade de divulgação de informações do Microsoft SharePointImportante
Microsoft Office SharePointCVE-2020-16951Vulnerabilidade de execução remota do Microsoft SharePointCrítico
Microsoft Office SharePointCVE-2020-16944Vulnerabilidade XSS reflexiva do Microsoft SharePointImportante
Microsoft Office SharePointCVE-2020-16945Vulnerabilidade do Microsoft Office SharePoint XSSImportante
Microsoft Office SharePointCVE-2020-16946Vulnerabilidade do Microsoft Office SharePoint XSSImportante
Microsoft Office SharePointCVE-2020-16941Vulnerabilidade de divulgação de informações do Microsoft SharePointImportante
Microsoft Office SharePointCVE-2020-16950Vulnerabilidade de divulgação de informações do Microsoft SharePointImportante
Microsoft Office SharePointCVE-2020-16952Vulnerabilidade de execução remota do Microsoft SharePointCrítico

Atualizações de segurança do Microsoft Office em outubro de 2020

As atualizações de segurança do Microsoft Office deste mês são entregues através da plataforma Microsoft Update e através do Download Center.

Para baixar as atualizações de segurança do Microsoft Office de outubro de 2020, clique no artigo da base de conhecimento correspondente abaixo e, em seguida, role até a seção ‘Como baixar e instalar a atualização‘ para obter as atualizações do seu produto Office.

Mais informações, incluindo IDs CVE, estão disponíveis nos artigos da base de conhecimento vinculados abaixo.

Microsoft Office 2016

ProdutoArtigo da Base de Conhecimento
Excel 2016Atualização de segurança para Excel 2016 (KB4486678)
Escritório 2016Atualização de segurança para o Office 2016 (KB4486682)
Escritório 2016Atualização de segurança para o Office 2016 (KB4484417)
Outlook 2016Atualização de segurança para o Outlook 2016 (KB4486671)
Palavra 2016Atualização de segurança para Word 2016 (KB4486679)

Microsoft Office 2013

ProdutoArtigo da Base de Conhecimento
Excel 2013Security update for Excel 2013 (KB4486695)
Office 2013Security update for Office 2013 (KB4486688)
Office 2013Security update for Office 2013 (KB4484435)
Outlook 2013Security update for Outlook 2013 (KB4484524)
Palavra 2013Atualização de segurança para Word 2013 (KB4486692)

Microsoft Office 2010

ProdutoArtigo da Base de Conhecimento
Excel 2010Security update for Excel 2010 (KB4486707)
Office 2010Security update for Office 2010 (KB4486700)
Office 2010Security update for Office 2010 (KB4486701)
Outlook 2010Security update for Outlook 2010 (KB4486663)
Word 2010Security update for Word 2010 (KB4486703)

Microsoft SharePoint Server 2019

ProdutoArtigo da Base de Conhecimento
Servidor on-line do OfficeAtualização de segurança para Servidor On-line do Office (KB4486674)
SharePoint Server 2019Atualização de segurança para SharePoint Server 2019 (KB4486676)

Microsoft SharePoint Server 2016

ProdutoArtigo da Base de Conhecimento
SharePoint Enterprise Server 2016Atualização de segurança para SharePoint Enterprise Server 2016 (KB4486677)

Microsoft SharePoint Server 2013

ProdutoArtigo da Base de Conhecimento
Office Web Apps Server 2013Atualização de segurança para o Office Web Apps Server 2013 (KB4486689)
Servidor de Projetos 2013Atualização cumulativa para Project Server 2013 (KB4486691)
SharePoint Enterprise Server 2013Atualização de segurança para SharePoint Enterprise Server 2013 (KB4486687)
SharePoint Enterprise Server 2013Atualização cumulativa para SharePoint Enterprise Server 2013 (KB4486693)
SharePoint Foundation 2013Atualização de segurança para SharePoint Foundation 2013 (KB4486694)
SharePoint Foundation 2013Atualização cumulativa para SharePoint Foundation 2013 (KB4486690)

Microsoft SharePoint Server 2010

ProdutoArtigo da Base de Conhecimento
Project Server 2010Cumulative update for Project Server 2010 (KB4486702)
SharePoint Foundation 2010Security update for SharePoint Foundation 2010 (KB4486708)
SharePoint Server 2010Security update for SharePoint Server 2010 (KB4484531)
SharePoint Server 2010Atualização cumulativa para o SharePoint Server 2010 (KB4486705)
SharePoint Server 2010 Excel Web AppAtualização de segurança para o SharePoint Server 2010 Excel Web App (KB4462175)

Outubro 2020 Patch Tuesday atualizações de segurança

Ontem, Redmond também lançou as atualizações de segurança do Patch Tuesday de outubro de 2020 com atualizações de segurança para 87 vulnerabilidades, sendo 12 classificadas como Críticas, 74 como Importantes e uma como moderada.

Atualizações não-seguranças do Windows com correções e melhorias também foram emitidas ontem com o Windows 10 KB4579311 & KB4577671 Atualizações Cumulativas.

Como parte do Patch Tuesday deste mês, a Microsoft também abordou uma vulnerabilidade crítica na pilha De IPC/IP do Windows rastreada como CVE-2020-16898 e apelidada de ‘Bad Neighbor’.

O Comando Cibernético dos EUA alertou os clientes da Microsoft para corrigir imediatamente o bug do Bad Neighbor conhecido por afetar várias plataformas de clientes (Windows 10) e servidor (Windows Server).

FONTE: BLEEPING COMPUTER

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *